Plan de Contingencia y Continuidad

Plan de Contingencia y Continuidad de negocio




El complemento ideal al Plan Director de Seguridad es el Plan de Contingencia y Continuidad de negocio que tiene como principal misión proteger los principales procesos de negocio a través de un conjunto de tareas que permitan a la organización recuperarse tras un incidente grave en un plazo de tiempo que no comprometa la continuidad. De este modo se garantiza poder dar una respuesta planificada ante cualquier fallo de seguridad. Esto repercutirá positivamente en el cuidado de la imagen y reputación como organización, además de mitigar el impacto financiero y de pérdida de información crítica ante estos incidentes.



Los principales indicadores que deben ser analizados son:


- Tiempo de recuperación o RTO (Recovery Time Objective). Este es el tiempo que un proceso permanecerá detenido antes de que su funcionamiento sea restaurado. Este valor tiene un alto componente de subjetividad.


- Tiempo máximo tolerable de caída o MTD (Maximum tolerable Downtime). Este es el tiempo que un proceso puede permanecer caído antes de que se produzcan consecuencias desastrosas para nuestra organización.

El MTD está relacionado con el negocio, mientras que el RTO será determinado, por personal técnico. En todos los casos, el RTO debe ser inferior al MTD.


- Recursos humanos y tecnológicos empleados en el proceso. En este punto debemos determinar las aplicaciones, sistemas, equipamiento y elementos auxiliares (impresora, fax, etc.) que cada proceso necesita para su funcionamiento en una situación de contingencia, así como los tiempos de recuperación que cada uno de ellos tenga.


- Grado de dependencia de la actualidad de los datos o RPO (Recovery Point Objective). Este valor determina el impacto que tiene sobre la actividad la pérdida de datos. Este valor es crítico a la hora de determinar las políticas de copias de la organización, y no guarda relación con el RTO visto anteriormente.


Más Información

 Cómo hacer este Plan ??



El Plan de Contingencia y Continuidad debe estar integrado con el negocio de manera que evite que el tiempo de parada interrumpa la continuidad más de lo necesario, y por ello es necesario:


 

1. Identificar las operaciones críticas

 

En la elaboración del Plan de Contingencia y Continuidad lo primero que hay que hacer es el mapa de los procesos para determinar la criticidad. Esto conlleva la obtención, elaboración y comprensión de los procesos y recursos de la organización que quedarían impactados. Para ello, es importante que involucremos a múltiples actores, no sólo del ámbito tecnológico. El análisis se realizará siempre desde el punto de vista de negocio. Y contendrá los requisitos temporales y de recursos para poder definir las iniciativas necesarias para recuperar los procesos en situación de contingencia.



Se tiene que identificar qué operaciones son fundamentales para el funcionamiento de la organización, ya que su interrupción afectaría la capacidad operativa. Esto se puede hacer en función de:

 ·  El tipo de servicios y productos proporcionados.

 ·  La medida en que la organización debe operar desde una ubicación diferente.


Entendiendo mejor las vulnerabilidades que existen, ya sean específicas de la organización o exclusivas del negocio, se podrán abordar los cambios que hay que implementar para aumentar la estrategia de ciberseguridad.


Este esfuerzo conllevará la identificación de qué riesgos impedirían las operaciones de los diferentes departamentos.


Algunas de las preguntas que nos debemos hacer son:

· ¿Qué elementos son tan esenciales que no podemos sobrevivir sin el acceso instantáneo a ellos?

· ¿Qué información o datos almacenamos que, si se perdiera, pondríamos en riesgo los clientes?

· ¿Qué datos deben protegerse para mantener la privacidad y la propiedad intelectual inalteradas?



2. Evaluar escenarios de desastres


Evaluación de los diferentes escenarios de desastres y cómo afectarían el negocio, y cuáles son los procedimientos adecuados para cada escenario. Es necesario determinar los objetivos mínimos, los de recuperación y la cronología una vez aparezca el desastre.


Un plan de contingencia y continuidad único no siempre funciona para todos los escenarios. Se necesitan protocolos diferentes, si descubrimos que un empleado descontento ha comprometido la seguridad de la empresa, será diferente, que si recibimos un ataque de ransomware.



3. Crear un plan de comunicación


Independientemente del tipo de desastre que pase, un plan de comunicación es esencial para garantizar la continuidad del negocio:

 ·  Es imprescindible un plan de acción para asegurar que los clientes entienden lo que ha pasado e indicarles  cómo se pueden poner en contacto con nosotros si es necesario. Y para darles la tranquilidad de que todo está controlado.

 ·  Si los sistemas de telefonía están comprometidos, asegurarnos de que alguien esté nombrado para asumir la responsabilidad de comunicarse a través de las redes sociales y supervisar las redes sociales para las consultas de los clientes.

·  Si se produce una fuga de datos, el plan de comunicación también debe incluir tanto las comunicaciones normativas requeridas como las comunicaciones con entes públicos para asegurar a los clientes las acciones que se están llevando a cabo para protegerlos.

·  Se tiene que asignar las personas específicas a roles claramente definidos.

·  También debe incluir información de contacto de emergencia para el equipo de servicios que ayudará durante el proceso de recuperación.



4. Elaborar un plan recuperación de datos

 


La planificación de un desastre de cualquier tipo es esencial para cualquier empresa que quiera seguir siendo funcional, ya sea que se produzca un mal funcionamiento (un fallo de servidor, un empleado que suprime la información esencial) o de una situación grave que amenaza con romper completamente la continuidad del negocio.


Es fundamental tener previsto un plan para minimizar los daños que se derivan.


Un plan de respuesta sólido consiste en un equipo de personal de TI dedicado a solucionar el problema, supervisar la intrusión adicional y contener la violación de datos existente.


Definir los roles de los empleados


Del mismo modo que cada empleado tiene un papel en el mantenimiento de la seguridad de la organización, cada empleado puede tener un papel en la recuperación. Se pueden delegar funciones por departamento, pero cada persona debería contribuir a ayudar a la empresa a recuperarse.


Identificar datos de misión crítica


Una de las consideraciones más importantes a la hora de crear un plan de contingencia y continuidad de una organización es determinar qué información es crucial para mantener operativo el negocio.


Idealmente, podemos crear un plan de recuperación de desastres suficientemente exhaustivo para mantenernos operativos en cualquier situación y lo suficientemente flexible para satisfacer las necesidades específicas.


Desde los datos del cliente hasta los procesos seguros, una copia de seguridad guardada en otro lugar debería incluir la información necesaria para seguir operando si no es opcional volver a la ubicación principal. Esta información puede incluir correos electrónicos, documentos, contratos, imágenes, registros fiscales, solicitudes y otros elementos necesarios para llevar a cabo las operaciones cotidianas.


Establecer el plan por escrito, especificando no sólo lo que se debe recuperar, sino también el lugar donde se podría recuperar si la red propia se encuentra en peligro.


El plan debe incluir:

·    Una lista de comprobación de todos los equipos y datos necesarios para funcionar.

·    Información de contacto del equipo de recuperación las 24 horas.

.    Sitios alternativos de trabajo y reuniones.

.    Tareas de comunicación y planes de acción.

·    Una lista de comprobación con todos los pasos que hay que hacer y quien los tiene asignados para garantizar su realización.

·    Establecer un seguimiento post-desastre.


La información obtenida de cualquier desastre experimentado se puede utilizar para crear una mejor respuesta al siguiente desastre.


Todas las infracciones ofrecen tanto a la organización que la experimenta como a todos un recordatorio de la importancia de las medidas de seguridad proactivas.

 


5. Poner a prueba el plan


Una vez desarrollado el plan de recuperación de desastres, hay que probarlo.


·    Ejecutando un simulacro en que se produzca un desastre donde simulamos un incumplimiento.

·    Poniendo a prueba al equipo para asegurarse de que no haya huecos en el plan.


Si se identifican vacíos de comunicación, huecos de seguridad u otros problemas, es necesario fortalecer el plan con pasos adicionales. 

Share by: